O debate sobre a proteção (ou seria falta de proteção?) dos dados na internet voltou à tona nas últimas semanas no Brasil depois da confirmação de novos casos de vazamentos em grande escala – tanto de órgãos públicos como de empresas privadas. Veja na lista a seguir.
Brecha no Incra
O mês de outubro começou com o site The Hack revelando que um diretório com cerca de 1,4 GB de documentos foi deixado exposto pelo Incra, autarquia federal responsável por, dentre outros temas, promover a reforma agrária, cadastrar imóveis rurais e assentar agricultores.
A reportagem calcula que milhões de pessoas foram afetadas pela falha que permitia a qualquer internauta o acesso a dados cadastrais (nome completo, telefone e CPF) de cidadãos que receberam ou tiveram negado os benefícios oferecidos pelo instituto.
Para agravar ainda mais a situação (e abrir o leque de opções de golpes que criminosos poderiam aplicar), informações de controle interno do Incra também constavam nas planilhas, como e-mail dos oficiais do órgão, dados de colaboradores e até o histórico de concessões de créditos a beneficiários.
Consultado pelo The Hack, o Incra não comentou o assunto. O site, no entanto, informou que o diretório vulnerável já foi tirado do ar.
Notas fiscais expostas
O site Olhar Digital denunciou outro caso que pode ter exposto milhões de brasileiros, no caso aqueles que emitiram ou receberam nota fiscal eletrônica de serviço em municípios que usam a plataforma Ginfes, sigla para Gestão Inteligente da Nota Fiscal de Serviço Eletrônica.
De acordo com a reportagem, uma falha de segurança tornava possível obter documentos na íntegra tanto do tomador como do prestador de serviços. Para isso, bastaria digitar combinações numéricas aleatórias nos nove números que aparecem no final da URL do site.
Dados como nome completo, endereço, e-mail, CPF/CNPJ, descrição e valor do serviço constavam nos documentos. Ainda não há um número absoluto de possíveis atingidos, mas mais de 60 cidades brasileiras utilizam a plataforma Ginfes na emissão das notas. A empresa responsável pela administração destes dados não se pronunciou.
Caso McDonald’s
Nome completo, faixa etária, tempo de experiência, cargo, seção, etnia, necessidades especiais, salário e até mesmo unidade de trabalho de colaboradores da rede de restaurantes McDonald’s ficaram expostos em um ambiente vulnerável, também segundo o The Hack. Dos mais de 2,3 milhões de registros sensíveis vazados – e que ainda continham contratações, demissões e listagem de fornecedores e parceiros do McDonald’s -, 1 milhão eram de funcionários.
A falha ocorreu em um servidor do tipo ElasticSearch, uma ferramenta utilizada para armazenamento e consulta de grande volume de dados. Vale lembrar que uma má configuração em um sistema deste tipo acarretou o vazamento dos dados de quase a população inteira do Equador no mês de setembro.
A Arcos Dorados, que é o grupo responsável pelas franquias do McDonald’s no Brasil, disse que o servidor em questão é de propriedade da DoxTi, um prestador de serviços de desenvolvimento de indicadores de performance, e que não houve invasão à sua infraestrutura. A DoxTi, por sua vez, afirmou que acionou os protocolos de segurança assim que foi notificada da falha. Uma consultoria independente foi contratada para atuar na investigação deste caso, e o ambiente vulnerável também já está fora do ar.
Dou-lhe uma, dou-lhe duas…
O mês de outubro também está marcado por uma denúncia de que os dados de 92 milhões de brasileiros podem estar à venda em um leilão na darkweb. Este caso foi revelado pelo site Bleeping Computer e repercutiu na imprensa brasileira.
O tal leilão está sendo realizado em sites clandestinos de acesso restrito por um hacker que usa o codinome X4Crow. Ele pede um lance mínimo de 15 mil dólares pelo banco completo e, ao que parece, não recebeu nenhuma oferta até o momento.
O cibercriminoso também está oferecendo, por até 150 dólares, o repasse de informações adicionais de cidadãos. Estas incluiriam número de telefone, e-mail, placa e modelo de veículos e até a identidade de parentes e vizinhos do alvo e seriam obtidas por meio de uma busca simples.
O Bleeping Computer teve acesso a parte dos dados que incluem nome, data de nascimento, CPF e CNPJs e concluiu que eles estão de acordo com os registros que constam na ferramenta de busca da Receita Federal brasileira. O volume de informações teria quase 16 GB e a fonte pode ter sido justamente o banco do governo, novamente segundo o site que revelou o caso.
O hacker afirma em seus anúncios que tem em mãos as informações de quase todos os cidadãos do país, o que não faz sentido, já que a população do país é de cerca de 210 milhões de pessoas. No entanto, o número de 92 milhões corresponderia ao estimado para a população brasileira economicamente ativa.
Por que os vazamentos são graves?
Por vários motivos. Um criminoso que tenha acesso a tal volume de informações como o que citamos nos casos acima pode usá-lo como arma para a prática de dezenas de delitos, como lavagem e desvio de dinheiro, técnicas de evasão, falsidade ideológica e phishing. Isso sem falar da invasão de contas (ou account takeover), o golpe sobre o qual tanto falamos aqui e que permite a um hacker assumir as credenciais de terceiros no ambiente on-line.
Os vazamentos também são a causa de prejuízos financeiros milionários. Para citar números, o gasto médio das empresas que sofreram ao menos um vazamento ficou em US$ 3,92 milhões, segundo a edição de 2019 do Data Breach Report, realizado pela IBM em parceria com o instituto Ponemon.
Este mesmo estudo mostrou que o Brasil é o quarto colocado em termos de volume de informação vazada a cada vez que acontece um incidente de segurança, atrás apenas de Estados Unidos, Índia e Oriente Médio. E o nosso país, vale lembrar, tem uma particularidade: em agosto do ano que vem entra em vigor a Lei Geral de Proteção de Dados (LGPD), que prevê multa de R$ 50 milhões ou 2% do faturamento bruto anual (o que for maior) para a empresa que não proteger os dados dos clientes.
Também é importante lembrar que o vazamento em muitas vezes não afeta apenas o cofre, mas também a imagem da empresa, que fica danificada ao ser atrelada a tantas notícias negativas e a essa sensação de despreparo com informações sigilosas. Há, por fim, o risco de algum concorrente ter acesso a todo este material (às vezes até segredos industriais acabam expostos) e naturalmente aumentar as chances de tomar os seus clientes.
Como se proteger dos vazamentos?
As dicas podem variar conforme o porte e o segmento das empresas, mas as mais básicas incluem fazer backups regulares, controlar o acesso a determinados arquivos e investir em segurança de TI (desde criptografia na nuvem para armazenar dados até processos mais simples, como o bloqueio de computadores após determinado tempo de desuso). Também é importante ter certificações que comprovem que seu sistema on-line é protegido.
O problema dos vazamentos é tão grave que muitas empresas, inclusive algumas gigantes de tecnologia, estão incentivando especialistas em segurança de informação a encontrarem possíveis falhas nos seus sistemas de armazenamento de dados em sites e aplicativos. Estes profissionais são conhecidos como “white hats”.
E nós, pessoas físicas, também podemos dificultar o vazamento de dados. Ainda no ambiente corporativo, quem nunca deixou uma rede social ou mesmo um e-mail logado automaticamente no computador e depois foi para casa sem desligar? Sim, só isso já poderia ser uma porta de entrada para um criminoso cibernético acessar os dados – os seus e os do seu local de trabalho.
Já num cenário em que você usa produtos ou serviços de uma empresa que foi vítima de vazamento, o recomendável é trocar todas as suas senhas (do e-mail, das redes sociais, do e-commerces, etc), além de ativar a autenticação de dois fatores em todos os locais em que esta opção estiver disponível. Tenha atenção também com a fatura do seu cartão de crédito caso você tenha comprado algo nos sites que eventualmente foram alvo.
Por último, o site Have I Been Pwned permite que você consulte gratuitamente se algum de seus e-mails foi vazado em algum dos milhões de casos que ocorreram no último ano. O autor deste texto escapou, mas muita gente que fez o teste – inclusive aqui da Konduto – se surpreendeu com o resultado.